Question:
Comment expliquez-vous à la direction et aux utilisateurs la nécessité de «le mettre en orbite»?
Polynomial
2012-11-19 19:59:04 UTC
view on stackexchange narkive permalink

Lorsqu'une machine a été infectée par des logiciels malveillants, la plupart d'entre nous identifient immédiatement l'action appropriée comme "la neutraliser de l'orbite" - c'est-à-dire effacer le système et recommencer. Malheureusement, cela est souvent coûteux pour une entreprise, en particulier si les sauvegardes sont configurées de manière moins qu'optimale. Cela peut produire une résistance de la part de la direction et des utilisateurs qui souhaitent simplement continuer à utiliser la machine pour le travail. Après tout, en ce qui les concerne, ils peuvent "simplement lancer AV dessus" et tout ira bien.

Comment expliquez-vous le problème à la direction et aux utilisateurs de nature non technique? Je pourrais facilement produire une raison technique, mais j'ai du mal à trouver le libellé approprié pour les utilisateurs non techniques. J'apprécierais particulièrement toute façon de parler à laquelle le destinataire peut s'identifier, par exemple faire appel au sens de la gestion des risques d'un manager.

Plus au point. Comment les données d'un utilisateur peuvent-elles être transférées en toute sécurité vers une nouvelle machine? C'est un problème que je rencontre.
@ktothez Il vaut mieux ne pas transférer les données des utilisateurs; Par exemple, comptez sur une sauvegarde sûre avant l'infection. Cependant, si nécessaire, je ferais quelque chose comme [ma réponse] (http://security.stackexchange.com/a/24221/2568) convertir des documents MS Office en documents en texte brut / fichiers CSV sur la machine infectée, démarrer dans un Linux live cd sur l'ordinateur infecté, montez le disque dur infecté avec `-noexec`, puis copiez sélectivement le nombre limité de documents en texte brut de la machine infectée vers un autre ordinateur. Cependant, méfiez-vous des modifications malveillantes de vos fichiers - par exemple, fichiers de configuration, mots de passe, données, etc.
N'est-il pas suffisant de simplement dire que la ligne de conduite que vous proposez est la seule qui garantit le résultat souhaité (en supposant bien sûr que c'est la seule ligne de conduite qui garantisse le résultat souhaité)?
@ dr. jimbob je fais quelque chose de similaire.
@ jah, malheureusement, il ne dirige pas le spectacle la plupart des endroits. Les décisions informatiques sont souvent annulées par des personnes manquant de connaissances informatiques.
@jah Malheureusement, non. Le résultat souhaité pour eux est une dépense absolument minime afin d'atténuer le risque. Le résultat souhaité pour moi est un risque absolument minime. L'astuce consiste à trouver un équilibre qui fonctionne bien pour les deux côtés de la médaille. Malheureusement, cet équilibre ne peut être facilement atteint que si les deux parties se comprennent.
"Oh, ma voiture a un pneu crevé." "NUKE IT FROM ORBIT!"
@Polynomial: Quelque chose que tout le monde comprend (ou devrait) est le retour sur investissement. Le meilleur retour sur investissement à long terme est probablement votre recommandation: minimisez le risque. Des dépenses minimales sont probablement plus coûteuses à long terme. Même la direction comprendrait cela (si elle vous fait confiance).
-1 * Qui a dit que * chaque petite infection nécessite une bombe atomique depuis l'orbite?Si ma main commence à me faire mal, allez-vous devoir être amputé simplement parce que vous pensez que cela * pourrait * être quelque chose qui pourrait s'étendre au reste de mon corps?Et * qui a dit * que même une nuque depuis l'orbite pourrait suffire?Il y a toujours une chance (quelle que soit la distance) que votre malware ait par exempleinfecté le firmware et survivra à un essuyage.Vraiment, cette question n'a aucun sens.
@Mehrdad Cela dépend de votre modèle de risque.Si vous utilisez un système de bureau à la maison, ce n'est peut-être pas un problème.Si vous exécutez un serveur Web qui gère les données des clients, le remplacement du système est logique dans de nombreux scénarios.De plus, les boutons de vote positif / négatif sont généralement utilisés lorsque la * qualité * d'une question est mauvaise, et non lorsque vous pensez que le demandeur a tort.Si vous n'êtes pas d'accord avec la prémisse, écrivez une réponse à cet effet.
@Polynomial: Vous avez dit * rien * de cela dans votre question!* "Cela dépend du modèle de risque" * ...?Oui, c'est exactement ce que je disais, et c'est exactement ce que votre question ignore.* "Un serveur web qui gère les données clients" * ...?Nulle part dans votre question n'avez-vous supposé que c'était le cas;vous venez de dire «machine», et pour autant que le lecteur le sache, vous pourriez parler des postes de travail de vos ingénieurs, ou des serveurs qui ne traitent pas les données clients.* "Remplacement du système" * ...?Vous avez dit effacer, pas remplacer, d'où la dernière partie de mon commentaire précédent.Pour moi, la question * est * de mauvaise qualité ...
@Mehrdad Points équitables.J'ai écrit la question sans inclure ces choses car je voulais éviter la discussion quelque peu philosophique sur l'appétit pour le risque et les approches de réponse aux incidents.Bien sûr, ces choses sont importantes pour prendre une décision sur * l'opportunité * de détruire un système en orbite, mais la question a été posée dans une perspective où (du moins du point de vue d'un responsable de la sécurité) le retirer de l'orbite a * déjà * été choisicomme l’action la plus appropriée.Essayer d'élucider le raisonnement pour cela à une personne non technique est difficile, et c'est le sujet de cette question.
Dix réponses:
KDEx
2012-11-19 22:56:00 UTC
view on stackexchange narkive permalink

D'après mon expérience, la gestion n'aime pas écouter les analogies intelligentes. Selon la personne, ils se soucient du résultat net en dollars ou en heures de productivité. J'expliquerais:

Le résultat final est qu'un compromis de nos données coûtera à l'entreprise environ X dollars + Y heures pour récupérer. Ceci est Z% susceptible de se produire étant donné le malware qui se trouve sur cette machine. Une nouvelle installation coûtera A dollars + B heures pour récupérer. Vous choisissez l'action appropriée.

C'est bref et clair et ne leur laisse pas vraiment de place pour argumenter. Ils comprendront clairement le risque et devraient prendre la bonne décision.

Le problème est l'incertitude fondamentale concernant X% - une fois qu'une infection s'est produite, elle peut se situer entre 0% et 100%. Il n'y a aucun moyen de dire où, et il n'y a qu'une seule façon de le ramener à 0%. C'est un concept plus délicat que le risque.De plus, pour plus de clarté, je suggérerais d'utiliser différentes variables pour les dollars et les heures, par exemple. Y et Z.
Bonne réponse, KDEx: la sécurité est un bien économique, avec un coût et une valeur. Ma propre pensée est que les X% de malwares sont probablement largement surestimés, ce qui conduit à l’habitude de «nucléariser depuis l’orbite», mais je n’ai vraiment traité que des malwares Solaris et Linux. Les logiciels malveillants Windows semblent certainement plus étranges et plus persistants.
Le problème est de chiffrer l'effet des temps d'arrêt - mais cela ne devrait pas être votre responsabilité - mais vous devez le savoir pour évaluer les solutions potentielles. Mais méfiez-vous si vous vous fiez à l'AV comme solution: Art Taylor estime à 30% la probabilité d'un bon résultat - mais à mon humble avis, c'est plutôt optimiste - vous finirez probablement par éliminer temporairement certains des symptômes.
@KDEx, vous devez considérer votre public et adapter votre réponse à lui. $ X> $ Y peut être la meilleure réponse pour certains publics, mais tous les gestionnaires ne le pensent pas de manière aussi concrète, même en ayant les chiffres présentés. S'ils le faisaient, ils n'essaieraient pas de remplacer l'expert dans la situation avec sa propre solution technique (exécutez AV dessus!). Certes, vous devez connaître vos chiffres lorsque la discussion en arrive à ce point, mais même vous déclarez qu'il y a de la place pour l'interprétation (X%), ce qui signifie qu'il y a toujours de la place pour argumenter.
Ce n'est pas toujours une simple comparaison de dollars, c'est une évaluation des risques. En fournissant de l'argent, du temps et des risques pour différentes solutions, vous aidez la direction à effectuer une évaluation intelligente des risques. Les commentaires sur l'incertitude concernant le risque (X%) sont sans objet - c'est une estimation basée sur l'opinion et l'expérience d'experts. Si la direction ne vous fait pas suffisamment confiance pour prendre votre opinion d'expert en tant que telle et contester vos estimations, alors vous avez déjà perdu et ne réussirez pas à convaincre qui que ce soit, quelle que soit l'intelligence de votre analogie.
@BruceEdiger Il existe des logiciels malveillants de preuve de concept qui peuvent même se cacher dans la batterie de l'ordinateur portable, rendant une réinstallation à partir de zéro inefficace, heureusement c'est une preuve de concept. Tout ce qu'il faut, c'est jouer un peu avec le MBR et c'est très difficile à détecter et pourra se réinstaller à chaque démarrage. Il existe de nombreux autres endroits dans le système où les logiciels malveillants peuvent se cacher, le problème est et a toujours été de les trouver tous.
La difficulté ici est de leur fournir une estimation raisonnable de X% et des coûts, dans les limites d'un pitch d'ascenseur. Ils ne veulent pas d'une longue conversation - ils veulent simplement avoir l'assurance que l'option la plus rentable est celle que nous recherchons. La rentabilité peut dépendre de l'évaluation des risques à long terme, mais tenter de donner une estimation raisonnable de X% est un tranchant. S'égarent trop bas et ils adopteront probablement plutôt l'approche AV. Allez trop haut et vous risquez de passer pour un colporteur de FUD. Même si vous faites les choses correctement, vous * pourriez toujours devenir propriétaire *, ce qui vous laisse dans l'eau chaude.
@Polynomial qui ressemble à beaucoup d'incertitude ... qui pour beaucoup dans la gestion (selon l'industrie) est la définition du risque. C'est donc par définition une estimation précise. En tant qu'expert dans le domaine, vous êtes la personne la mieux placée pour faire cette évaluation et la fournir aux décideurs, non?
En ce qui concerne le coût des temps d'arrêt, il n'y a vraiment aucun coût, car dans tout environnement approprié, vous aurez un serveur de préparation prêt à l'emploi.Transférez l'image intermédiaire sur le serveur de production et vous avez terminé, plus ou moins (cela dépend de la façon dont votre environnement de développement est entretenu).
Art Taylor
2012-11-19 23:45:36 UTC
view on stackexchange narkive permalink

J'éviterais les analogies biologiques ou non commerciales (sauf s'il s'agit d'un hôpital). Votre travail consiste à évaluer les risques, les coûts et à proposer des options. Le travail de votre direction est de prendre la décision en fonction de votre analyse et de vos conseils.

En général, une approche sous forme de tableau est la meilleure. «approche», «probabilité de corriger le problème», «coût» sont le minimum nécessaire. Vous pouvez appeler le deuxième "Vegas" si vous devez absolument devenir mignon.

Par exemple, dans ce cas, vous pouvez avoir ce qui suit.

  Approche Prognosis CostRun anti -virus sur la machine 30% 4 heures IT, 4 heures d'indisponibilité Remplacer la machine avec une nouvelle machine 75% 3 000 USD, 16 heures IT, 4 heures d'indisponibilité Machine AV, copier les fichiers utilisateur, remplacer la machine, restaurer 60% 3 000 USD, 24 heures IT, 4 heures utilisateur , 8 heures d'indisponibilité des fichiers  

Dans cette liste (en supposant un bureau d'utilisateur), le vrai problème est le comportement de l'utilisateur. Vous voudrez documenter pourquoi le pronostic est < à 100% pour les différentes options, et pourquoi tout ce qui concerne les fichiers utilisateur est moins efficace que "se débarrasser de l'orbite".

Selon le problème, vous voudrez peut-être ajoutez «ne rien faire» ou «attendre» pour informer votre gestion des risques pour l'entreprise dans son ensemble.

+1 pour le tableau des coûts-avantages. C'est vraiment ce que la plupart des dirigeants veulent voir.
C'est une très bonne réponse. Le tableau bien sûr, et aussi les scénarios de ne rien faire ou d'attendre que vous avez évoqués, même si vous ne pouvez pas bien quantifier le risque de baisse. Ce sont néanmoins des options viables, et c'est formidable que vous les ayez incluses. Les analogies spécifiques au contexte sont excellentes, mais seulement si elles sont directement pertinentes pour l'entreprise. Si vous ne pouvez pas le faire avec certitude, mieux vaut ne pas essayer, et certainement mieux ne pas encadrer les choses en des termes qui renforceront les stéréotypes ennuyeux sur la culture de travail du personnel informatique et de sécurité.
Réponse intéressante, l'inconvénient, à mon avis, d'une réponse en chiffres précis est d'où viennent les pourcentages de probabilité? Dans beaucoup de sécurité, lorsque les gens essaient de quantifier des choses comme les probabilités et les coûts, les chiffres ont un élément de «meilleure estimation» car il n'y a vraiment pas de bon moyen de les prédire, puis si on leur demande pourquoi ils sont à ce niveau, il est difficile de se défendre leur..
@RoryMcCune Bien que je ne sache pas si c'est ce que ArtTaylor a en tête, j'y penserais comme si l'informatique disait _ "C'est ce que nous voulons que vous fassiez" _... Tout en laissant la décision finale entre leurs mains
Pourquoi remplaceriez-vous la machine? Pourquoi ne pas simplement effacer le disque dur et réinstaller le système d'exploitation?
Très souvent, un service informatique aura un certain nombre de machines préparées pour le remplacement ou la livraison à de nouvelles recrues, que ce soit de nouvelles machines ou des machines qui ont été nettoyées après que quelqu'un a quitté l'entreprise. Les responsables du recrutement ont souvent l'impression de leur faire savoir que quelqu'un commence à une date particulière, alors ils tamponnent le matériel. Dans ce cas, il est souvent plus simple et moins coûteux (pour ne pas dire moins perturbateur) de se rendre au bureau de la personne, de prendre son ordinateur portable, de lui donner un «nouveau» ordinateur portable et d'attendre qu'il le salisse.
@RoryMcCune si vous n'avez pas établi de confiance pour que la direction prenne vos estimations sans débat sur une petite question comme celle-ci, vous devez d'abord y travailler. Jusque-là, vous devez utiliser des chiffres historiques provenant des sources habituelles (Gartner, Forrester, AMR, etc.).
@ArtTaylor mais si vous n'avez pas établi la confiance, donnez des chiffres que vous ne pouvez pas sauvegarder, c'est vraiment une bonne idée. Point intéressant sur les chiffres historiques, mais pour ce scénario (c'est-à-dire la probabilité qu'un produit AV donné supprime une infection spécifique), il n'y a pas de chiffres historiques qui résisteraient réellement à un examen pour autant que je sache, s'il y a un lien serait un bon mise à jour :)
schroeder
2012-11-19 21:16:34 UTC
view on stackexchange narkive permalink

Vous pouvez boire tout l'antivirus au vin rouge que vous voulez essayer pour éviter de contracter le cancer, mais une fois que vous avez cette première tumeur, boire plus ne va pas aider. Vous devez le couper et vous assurer que vous obtenez tout, car si vous ne le faites pas, il reviendra.

Une fois que vous êtes infecté par un virus, les symptômes évidents sont une gêne, mais c'est ce que vous ne pouvez pas voir où se trouve le vrai danger. Les portes dérobées, les rootkits et les botnets peuvent tous se cacher sans aucune indication que quelque chose ne va pas. Parfois, les dangers cachés sont combinés à des dangers évidents, donc vous vous sentez en sécurité une fois que les symptômes évidents ont disparu, mais l'évidence est une distraction du caché.

Une fois que vous savez que vous avez été infecté, vous ne savez pas jusqu'où l'infection va, et ne pas savoir cela signifie que vous ne savez pas ce qui est à risque. La marche à suivre la plus élémentaire consiste à le neutraliser de son orbite. De cette façon, vous savez où vous en êtes et quel est votre risque, même s'il y a un coût important pour recommencer à zéro.

Votre analogie avec le cancer ne tient pas bien. «Nuke it from orbite» correspond à «tirer sur la victime du cancer et commencer avec son clone le plus récent», et non la solution préférée en général.
@CodesInChaos, qui dépend entièrement de l'utilisateur en question. ;)
Ça tient bien. Nous ne pouvons pas remplacer toutes les cellules d'un corps humain, mais nous souhaitons pouvoir le faire. Le cancer n'est jamais «guéri», il «survit» parce que nous ne pouvons jamais être sûrs que toutes les cellules cancéreuses sont éliminées. Avec un ordinateur, nous avons la possibilité de remplacer toutes les cellules pour nous assurer que tous les éléments malins ne sont plus un facteur.
Je dirais l'iode plutôt que le vin rouge, mais j'aime cette analogie avec le cancer. Le besoin de le couper du réseau fonctionne très bien.
Mark Allen
2012-11-20 01:16:26 UTC
view on stackexchange narkive permalink

C'est facile - il suffit de terminer la citation dans votre question, de Aliens.

C'est la seule façon d'être sûr.

C'est vraiment tout ce qu'il y a à faire. Ni plus ni moins. Faites-leur savoir que si vous exécutez le logiciel audiovisuel dessus et que le logiciel dit qu'il a trouvé et supprimé le virus, alors peut-être qu'ils vont bien. Peut être. Si le virus a vraiment été supprimé. Si c'était vraiment le seul virus.

Pour répondre à ce que quelqu'un d'autre a publié sur "Comment enregistrer les données utilisateur de la machine", la réponse est que vous ne le faites pas. "ENLEVEZ ET NUKEZ TOUT LE SITE D'ORBIT" Cela signifie que vous restaurez à partir d'une sauvegarde et qu'ils perdent tout ce qui n'a pas été sauvegardé. Ce n'est pas la chose facile à faire, c'est la bonne chose à faire.

Parce que c'est le seul moyen d'être sûr .

Attends une seconde. Cette installation a une valeur monétaire substantielle qui lui est attachée.
Je peux les facturer!
Thomas Pornin
2012-11-19 21:48:35 UTC
view on stackexchange narkive permalink

Essayez les espions. Le dernier opus de James Bond semble faire des millions d'entrées, donc la foule dans son ensemble est, pour l'instant , réceptive aux histoires d'espionnage. Expliquez qu'une fois que des personnes peu fiables / hostiles sont en charge (c'est la configuration «compromise»), il n'y a aucun moyen de récupérer une sécurité adéquate en leur demandant de le faire ; et pourtant, c'est de cela qu'il s'agit d'exécuter un antivirus sur une machine infectée. Les réseaux d'espionnage du monde entier ont toujours été séparés en cellules autonomes précisément pour que les parties pourries puissent être sectionnées. Une fois qu'un agent a été subverti, vous pouvez peut-être le renverser, mais vous ne lui ferez plus jamais confiance.

Pour compléter la démonstration, parlez des firmwares de clavier infectés, qui souligne la nécessité de vraiment mettre la machine en feu. La réutilisation du matériel, même après un effacement, est risquée. Par conséquent , les gestionnaires / utilisateurs doivent être reconnaissants que nous acceptions de ne pas faire le nettoyage complet, et de nous limiter à un nuking logique , pas physique. Faites croire qu'il s'agit déjà d'un grave compromis de votre part.

Bien que ce soit une bonne façon de le mettre d'un point de vue littéraire, je crains qu'une telle explication laisse la plupart des cadres moyens stupéfaits d'un point de vue complètement différent.
Savez-vous si Apple a fait quoi que ce soit à propos du piratage du micrologiciel du clavier ou s'il a été vu dans la nature?
Je ne suis pas au courant de quoi que ce soit fait contre lui, ni d'aucune observation dans la nature. Mais cela ne prouve pas grand-chose ...
-1
mgjk
2012-11-20 00:08:40 UTC
view on stackexchange narkive permalink

Pour être l'avocat du diable, la direction a entendu tout cela. La sécurité est la gestion des risques et ils doivent prendre la décision. Rappelez-leur simplement les outils.

  Risque = Probabilité d'occurrence X impact de l'occurrence  

100% de chance de temps d'arrêt de production pendant la reconstruction et les coûts de reconstruction contre 0,01% de chance de malveillance logiciel ou backdoors restant dans le système.

Qui contrôlerait les portes dérobées? Les cybercriminels commettant des crimes en série depuis la Chine, la Russie ou l'Europe de l'Est. À quoi auraient-ils accès? données système, partages de fichiers, renifleurs de clavier, microphones, caméras, etc. Pour combien pourraient-ils vendre ces informations? Combien de temps pourraient-ils passer inaperçus?

Qu'est-ce que cela signifie pour la machine en question et les informations qu'elle contient?

Ensuite, fournissez votre évaluation de la cible (en utilisant vos informations limitées), et laissez-les prendre la décision. Ils connaissent les finances et ils ont une meilleure idée de la valeur réelle de la cible.

Il existe de nombreux autres vecteurs d'attaque. Employés mécontents, sous-traitants et leur équipement, portes dérobées dans des logiciels légitimes, systèmes de sécurité mal configurés, lecteurs non chiffrés, etc. C'est un monde imparfait. L'argent et le temps consacrés à la réfutation pourraient être mieux dépensés ailleurs, comme la correction de la politique de mot de passe, le renforcement de vos serveurs de messagerie, l'amélioration des sauvegardes, etc.

tylerl
2012-11-20 00:05:08 UTC
view on stackexchange narkive permalink

Du point de vue du technicien, vous avez certainement raison. Mais le PDG ne regarde pas cela du point de vue du technicien. Il faut donc soit présenter l'argument en des termes qui lui semblent sensés.

Aucune solution n'est absolument efficace à 100%. Pas même "le bombarder de l'orbite". Ce que vous obtenez, ce sont des probabilités. Mettez cela sur un tableau coûts-avantages, et vous parlez un langage que le PDG peut comprendre: (les chiffres ne sont que des exemples)

  • Donc, si je nettoie seul le malware évident, alors le coût est le plus bas (1 heure de travail / temps d'arrêt) et peut-être que 20% efficace (80% du temps, l'attaquant reviendra rapidement).

  • Si je nettoie les logiciels malveillants évidents et passent plus de temps à examiner les fichiers modifiés au cours des 48 dernières heures, puis j'obtiens un taux de réussite et un coût plus élevés: 6 heures de travail / temps d'arrêt, 60% de taux de réussite

  • Peut-être que si je fais tout ce qui précède en plus de réinstaller tous les packages système (par exemple sur les systèmes RH: yum reinstall openssh-server etc), alors le coût et les taux de réussite disparaissent plus élevé: 12 heures de travail / temps d'arrêt, 95% de taux de réussite

  • Si je fais tout ce qui précède, plus passe plus de temps à vérifier / supprimer les fichiers dans / bin, / sbin / etc., qui n'appartiennent à aucun package, cela ajoute peut-être 4 heures supplémentaires et me donne 3% de points supplémentaires sur mon taux de réussite.

  • Enfin, si je le "bombarde depuis l'orbite", j'obtiens le coût et le taux de réussite les plus élevés: 48 heures de travail / temps d'arrêt, 99,995% de taux de réussite

Ensuite, à partir de là, nous calculons combien coûte chaque heure de travail / temps d'arrêt, en plus d'ajouter le coût par incident de chaque exploit, et nous commençons à avoir une idée de quelle solution coûtera probablement le moins / le plus à long terme. Et maintenant, c'est une décision commerciale simple. Les PDG sont doués pour cela.

Bien sûr, les solutions listées ci-dessus supposent un environnement * NIX, mais vous pourriez proposer une liste similaire pour les systèmes Windows. Assurez-vous de lancer AV là-dedans en option avec un taux de réussite associé réaliste .

Voici le hic: les probabilités sont difficiles à trouver. À moins d'avoir fait ou vu beaucoup de ces solutions à mi-chemin, vous n'avez probablement aucune base pour continuer. De plus, convaincre un professionnel de la sécurité de se rallier à la solution 3 ci-dessus quand il sait qu'il ignore spécifiquement certaines menaces potentiellement sérieuses sera une vente difficile.

Mais la décision et le risque sont la responsabilité du PDG, pas du professionnel de la sécurité. Il peut décider d'opter pour une option moins sûre, mais tant qu'il sait quels risques il prend , il devrait être libre de le faire.

Le vrai problème est que lorsque le PDG décide de quelque chose de moins que de se mettre en orbite et que l'infection finit par survivre et causer de graves dommages, la poursuite est susceptible de se retourner et de dire que puisque l'option effectuée était efficace à 95% et a échoué, 95% de le blâme va à l'administrateur système qui a effectué la récupération et comme quelqu'un doit être limogé en tant que bouc émissaire du fiasco, il devrait évidemment être la personne qui n'a pas réussi à nettoyer l'infection.
@DanNeely C'est certainement le genre de chose dont vous vous attendez à vous inquiéter. Mais tant que tout est correctement expliqué et documenté, cela ne devrait pas l'être. Si vous achetez un produit avec un taux de défaut documenté de 2% dans votre contrat, vous ne pouvez pas imputer 98% de la responsabilité des défauts au fabricant. C'est à 100% le décideur. Si vous êtes dans un lieu de travail où cela vous préoccupe, vous devez simplement (a) refuser catégoriquement de faire ce que le PDG vous dit de faire et / ou (b) trouver un nouvel emploi.
* `yum reinstall openssh-server` etc * dépend de votre capacité à faire confiance à` yum` pour faire ce qu'il est censé faire. Le faites vous?
@MichaelKjörling typiquement, oui. Encore une fois, nous jouons sur les probabilités et les moyennes. ssh / sshd sont * fréquemment * des chevaux de Troie, tout comme les coreutils, y compris md5sum. Mais jusqu'à présent, sur les milliers de systèmes piraté j'ai examiné, ils ne sont pas un cheval de Troie yum ou python ou rpm. Ce n'est pas impossible, ce n'est tout simplement pas populaire (encore).
GdD
2012-11-19 20:14:55 UTC
view on stackexchange narkive permalink

C'est difficile. Vous devez utiliser des concepts que la personne moyenne comprendra et trouver un moyen de lui faire prendre soin de lui. J'utiliserais des virus biologiques et comment ils fonctionnent pour expliquer le fonctionnement des virus informatiques, car c'est quelque chose avec lequel tout le monde a de l'expérience et a le potentiel d'amener l'utilisateur à être "sympathique" à la situation de l'ordinateur.

Un virus biologique subvertit une cellule, lui faisant faire ce que le virus veut. Le virus devient essentiellement un zombie. Vous ne pouvez pas faire confiance à la cellule pour faire ce qu'elle est censée faire, et vous ne pouvez pas arrêter la cellule infectée par le virus et la rétablir à nouveau, la machinerie a été si bien maîtrisée que vous ne pouvez que la tuer.

Un virus informatique plus ancien n'imitait pas de très près les virus biologiques. Leur niveau de sophistication était tel qu'ils étaient capables de faire certaines choses, mais pas d'infecter les systèmes au niveau où ils ne pouvaient pas être supprimés. Leur survie dépendait davantage de l'absence d'AV sur le système.

Désormais, les virus informatiques imitent bien plus étroitement les virus biologiques, ils sont capables de subvertir un système si complètement que vous ne pouvez jamais être sûr qu'ils sont clairs. Cela peut dire que c'est clair, mais le virus est si totalement sous contrôle qu'il peut empêcher un antivirus de le détecter. L'ordinateur est comme une cellule zombie, et le seul moyen d'empêcher le virus de se propager est de le tuer.

Mike Samuel
2012-11-19 21:38:12 UTC
view on stackexchange narkive permalink

Imaginez que nous vivons dans un film d'horreur. Votre fiancé ou fiancé (selon le cas) a été maudit par une sorcière et crache maintenant du vomi de projectile tout en faisant tourner la tête de façon anormale.

En tant qu'exorciste et chirurgien du cerveau amateur, vous avez deux options:

  1. Chassez totalement les démons et restaurez l'âme de votre bien-aimé dans la propriété de son corps.
  2. Essayez une chirurgie cérébrale délicate de plusieurs jours sur un corps surnaturellement fort et dangereux qui combattez toutes vos tentatives.

L'option 1 est simple, bon marché et fonctionne (dans les films d'horreur).

L'option 2 nécessite des équipes de médecins hautement qualifiés et coûteux, et ne fonctionnera probablement pas parce que vous ne pouvez pas anesthésier les démons.


La restauration du logiciel à partir d'une sauvegarde est analogue à l'option 1, et contrairement à l'exorcisme, l'IRL fonctionne.

L'option 2 est analogue à l'utilisation d'administrateurs système pour vérifier les binaires du programme, les fichiers de données et les configurations par rapport à une bonne copie connue qu'ils auraient simplement pu installer sur la machine en premier lieu.

Je pense que vous avez mal compris. Je peux très bien fournir une explication technique, mais je cherche un moyen de l'expliquer à un utilisateur ou à un gestionnaire non technique. De plus, 100 Mo, ce n'est rien comparé à une installation de système d'exploitation typique de nos jours - vous regardez des dizaines de gigaoctets pour Windows 7 ou 8.
@Polynomial, c'était ma tentative de fournir une explication à un niveau de détail qui pourrait être saisi par un utilisateur non technique. Oui, 100 de Mo est une installation mince pour un système d'exploitation face à l'utilisateur de nos jours. De nombreux serveurs à usage spécial utilisent toujours des systèmes d'exploitation plus minces.
@Polynomial s'il vous plaît voir mes modifications.
J'aurais personnellement mis une attitude zombie là-dessus - si un autre survivant est mordu, est-ce que vous a) appliquez les premiers soins et laissez-les hausser les épaules, ou b) tuez-les juste là pour les empêcher de nuire à quelqu'un d'autre, et brûler leur cadavre après?
@user3490, Je pense que les gens prendront la première option.
dr jimbob
2012-11-20 02:10:33 UTC
view on stackexchange narkive permalink

Il convient de souligner qu'il est généralement correct de transférer des données non exécutables de valeur ( sans sauvegarde récente ) à partir d'un machine, avant de sortir de l'orbite (effacer le disque dur, réinstaller le système d'exploitation à partir d'une source sûre). Des éléments tels que des documents en clair (par exemple, manuscrit en latex ou code source) ou des fichiers multimédias importants (par exemple, des images de vacances en famille) peuvent valoir la peine d'être récupérés s'il n'y a pas de sauvegarde récente. Cependant, vous devez vous méfier du fait que le virus laisse à un attaquant le contrôle total du système infecté, et l'attaquant peut avoir modifié vos données. Cela pourrait inclure l'introduction de portes dérobées dans votre code source, la création de leurs propres utilisateurs administrateurs dans vos bases de données, la modification des fichiers de configuration afin que le système soit dans une configuration faible qui puisse être attaquée à nouveau, etc. (je lirais tout le code source avec une peigne pour s'assurer qu'aucune modification subtile n'a été effectuée - et ce n'est que si ce n'est pas critique pour la sécurité). Faites également attention à ce que certains fichiers multimédias contiennent potentiellement des virus, par exemple, des documents MS Office avec des virus de macro (dans ce cas, le mieux, j'exporterais la copie du contenu du texte de .doc / .xls dans un fichier en texte brut du système infecté lorsqu'il n'est connecté à rien). Faites également attention en transférant les données de la machine infectée (pour ne pas réinfecter l'autre machine); par exemple, je ferais probablement quelque chose comme démarrer un cd live Linux, monter le disque dur infecté avec -noexec, me connecter à Internet et copier sélectivement les fichiers importants, et si possible essayer de les comparer à la sauvegarde la plus récente.

La raison de la destruction de l'orbite est que c'est le seul moyen de pouvoir utiliser à nouveau cet ordinateur en toute sécurité. Les logiciels antivirus fonctionnent en identifiant les logiciels malveillants connus et ne peuvent donc pas le faire avec une précision de 100% (et les logiciels antivirus exécutés sur un ordinateur infecté peuvent avoir été falsifiés par le virus, ce qui réduit considérablement ses chances de supprimer complètement le virus). Repartir à un point sûr signifie que vos précieuses données ne seront pas volées ou que vous n'aurez pas à répéter le processus dans une semaine (peut-être sur plus de PC à mesure que l'infection se propage). La réinstallation peut être automatisée et prend moins d'une journée; à peu près un temps équivalent pour exécuter une analyse antivirus complète sans garantie d'efficacité. Si les temps d'arrêt sont un problème, il doit y avoir une redondance dans la quantité de ressources informatiques disponibles pour l'organisation.

Et puis il y a les polices / images / ... qui provoquent des attaques de dépassement de tampon dans les téléspectateurs ou les PDF qui sortent des téléspectateurs - vous ne pouvez jamais être sûr que le système n'a pas été touché par un 0-day ciblé causé par un fichier de données.
@MartinSchröder - Je suis d'accord que les fichiers PDF (comme * .doc) sont dangereux car ils ne sont pas de simples textes en clair, mais exécutent souvent automatiquement des scripts intégrés. Je ne suis pas d'accord avec les images qui seront généralement sûres lorsqu'elles sont vues par des téléspectateurs matures. En principe, les visionneuses d'images peuvent être sensibles aux attaques par débordement de tampon, mais seulement si elles sont mal écrites [(par exemple, un langage non sécurisé avec des bibliothèques non sécurisées ne faisant jamais de vérification des limites)] (http://en.wikipedia.org/wiki/Buffer_overflow#Protective_countermeasures ). Je naviguerai sur le Web et afficherai toutes les images présentées sans aucun risque de virus (contrairement à pdf / doc).
Je me demande si les fichiers .txt pourraient également être infectés en faisant une sorte de débordement de tampon Unicode.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Continuer la lecture sur narkive:
Loading...